ch2 数据安全-反垃圾邮件

数据安全反垃圾邮件技术基本概念垃圾邮件SPAM垃圾邮件现在还没有一个非常严格的定义。一般来说，垃圾邮件是指未经用户许可而强行发送到用户邮箱中的任何电子邮件。邮件病毒是指通过电子邮件传播的病毒。一般是夹在邮件的附件中，在用户运行了附件中的病毒程序后，就会使电脑染毒。电子邮件本身不会产生病毒，只是病毒的寄生场所基本概念电子邮件炸弹最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的宽带。网络钓鱼（Phishing攻击）一种企图从电子通讯中，透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感资讯的犯罪诈骗过程。邮件传送流程MUA：邮件用户代理MTA：邮件转发代理DNS：域名服务器MDA：邮件分发代理相关技术关键词过滤实时黑名单技术HASH技术基于规则的过滤智能和概率系统反向查询技术DKIM（DomainKeysIdentifiedMail）技术SenderID技术FairUCE技术（1）传统的反垃圾邮件技术黑名单白名单关键字过滤DNS反向查询技术实时黑名单(RBL)基于规则的过滤技术贝叶斯过滤分布协作的内容指纹分析其它辅助技术黑名单（BlackList）什么是“黑名单”？黑名单的建立存在的问题白名单（WhiteList）什么是“白名单”？存在的问题关键字过滤什么是“关键字过滤”？存在的问题DNS查询技术DNS查询技术收到电子邮件时对发送者的互联网域名进行查询，依此来验证发送者信息的真实性反向DNS查询技术收到电子邮件时对发送者的IP地址进行DNS反向查询，检验其对应的域名是否是其声称的域名我国许多企业邮件系统缺少DNS反向记录，导致被列入国外知名RBL中202.15.16.3INPTRyourdomain实时黑名单(RBL)什么是“实时黑名单”？局限性改进方案DNSBL(DNSBlockList,DNS黑名单列表)贝叶斯过滤什么是“贝叶斯过滤技术”？由PaulGraham于2002年8月提出，它和基于规则的过滤技术比较相似，但是贝叶斯过滤器不必预先设定规则。理论基础在已知的垃圾邮件中，一些单词出现的频率较高，而在非垃圾邮件中，另一些单词出现的频率较高。通过特定算法对大量垃圾邮件和非垃圾邮件进行分析计算，得到垃圾邮件和非垃圾邮件单词的贝叶斯概率模型。可以由此概率模型推算目标邮件是垃圾邮件的概率。贝叶斯过滤优点克服了传统内容分析技术准确性第、误报率高的曲线不需要预先搜集和编制关键词表结合其它垃圾邮件分析技术，可以实现对样本的自动采集和学习局限性是一种基于内容的分析方法，对内容进行特殊处理后，可逃避贝叶斯技术的检查。如将关键的内容改成图片等分布协作的内容指纹分析指纹分析从邮件中提取出可以代表内容的指纹数据（一般利用哈希函数算法或检查和的算法来产生指纹特征）模糊指纹不同的内容会产生不同的指纹。为防止垃圾邮件发送者利用小的变化，如大小写等，来躲避反垃圾邮件系统，使用模糊指纹，使相似内容的邮件产生相同的指纹全球协作的内容指纹分析用“指纹”代表邮件，全球的兼容用户提交邮件指纹，从服务器得到响应，以知道有多少封邮件在全球传播，以识别邮件是否是垃圾邮件分布协作的内容指纹分析优缺点在对付由蠕虫或病毒爆发造成的垃圾邮件时有非常好的效果垃圾邮件流传的规模比较有限，或内容根据不同的发件人动态变化，这个技术也就无能为例了要求邮件服务器的管理员和用户能够自觉提交垃圾邮件样本以进行分析，而国内用户往往没有这方面的习惯和意识，这个技术在国内作用有限传统过滤技术技术优点缺点应用性关键词简单漏报、误报率高接受收方配置，全球黑名单共享黑名单及早判断，减轻邮件服务器存储对于小型垃圾邮件制造者和采用动态IP发送邮件的情况，效果欠佳。接收方配置基于规则对于规律性强的垃圾邮件效果较好用户要求较高，易用性不好接收方配置HASH能及时发现大量重复发送的垃圾邮件对于发送源分散的垃圾邮件，效果不佳接收方配配置

智能与概率系统基于贝叶斯分类器的过滤基于规则评分系统的过滤基于行为模式识别的过滤技术优点缺点应用性基于贝叶斯分类器的过滤占用存储空间少；训练样本简单；能够实现有效过滤（99%）；用户操作方便实际中的过滤率达不到99%；中文处理比较困难；可以绕过过滤器接收方配置基于规则评分系统的过滤实现了自动识别垃圾邮件的功能；在理论上对垃圾邮件的过滤效果可达到90%。如规则的产生、规则分值的确定存在问题；需要定期对系统中的规则进行动态调整和修改。接收方配置基于行为模式识别的过滤在理论计算上有着90%以上的垃圾邮件区分度；可最大限度地确保正常通信不受影响无法对本地用户外发垃圾邮件进行有效过滤接收方配置DKIM技术DKIM（DomainKeysIdentifiedMail）邮件域名密钥验证雅虎公司提出的一种源头认证技术。使用密码学的基础提供了签名与验证的功能在2007年2月时，DKIM被列入互联网工程工作小组（IETF）的标准提案，并于同年5月成为正式标准目前Sendmail、Qmail、MSExchange、PowerMTA、acSMTP、XMLServer等均支持DKIM雅虎公司发布了一个开放源代码的DKIM的参考实现提供的服务验证邮件发件人是否确属于他所声称的邮件域保障邮件内容本身的完整性DKIM技术拒绝来源于签名域的非签名邮件接收方具有验证发件域的能力使电子邮件具备可追查来源的能力DKIM技术FairUCE技术FairUCE（FairuseofUnsolicitedCommercialEmail）IBM于2005年提出，使用网络领域的内置身份管理工具，通过分析电子邮件域名，过滤并封锁垃圾邮件。通过溯源找到垃圾邮件的发送源头，并将那些传递过来的垃圾邮件再转回给发送源头，以此来打击垃圾邮件发送者原理在电子邮件地址、电子邮件域和发送邮件的计算机之间建立起一种关系，以确定电子邮件的合法性如果还不能确定关系，FairUCE会自动发送一个客户端的邮件来找到某种关系。如果能够找到关系，FairUCE会检查该域名地址是否有不良记录、接受人是否将其定入“黑名单”，从而决定采取接受、拒绝或是怀疑等措施FairUCE技术利弊：能够影响垃圾邮件发送源头的性能可能打击到正常的服务器（比如被利用的），同时该功能又复制了大量垃圾流量反垃圾邮件系统Internet发起Internet访问请求正常邮件病毒邮件垃圾邮件磁盘空间系统资源非法信息浪费时间邮件系统反垃圾邮件网关系统正常邮件病毒邮件垃圾邮件反垃圾邮件系统Internet邮件安全防护系统邮件服务器四层安全防护SMTP-IPS入侵保护行为模式识别反垃圾邮件引擎病毒过滤引擎敏感邮件内容过滤如何选择反垃圾邮件网关高效稳定反垃圾邮件网关布署于邮件服务器之前，为所有邮件进出的关口，其稳定性直接决定了邮件服务的稳定性。同样，如果反垃圾邮件网关处理效率低下，造成邮件大量阻塞，直接影响邮件服务品质。零通信风险

第一，反垃圾邮件网关必须具有尽可能低的误判率。第二，在发生误判时，必须确保通信双方中至少一方及时知情。第三，客户容易修正模型，以快速排除通讯阻碍，保证零通信风险。高过滤率反垃圾邮件网关的主要功用就是识别与过滤垃圾邮件。如何选择反垃圾邮件网关免维护设计不需要人工频繁设定、修改与增添策略及规则模型。尽可能少地变更网关设定与配置，确保网关稳定运行。友好方便的管理监控目视管理：充分展示网关的工作状态，如资源使用、队列状态、邮件进出情况等易于配置：配置界面清晰友好。多样化报表：方便快捷地了解网关的效果与功用。快速、持久的服务支持反垃圾邮件是一个长期持久的战役，需要厂家长期的服务与支持。Q&A谢谢！29第二章

计算机系统的物理安全一、物理安全概述

30物理安全:系统安全的前提保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故（如电磁污染等）以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。例：2001年2月9日中美之间的海底光缆被阻断的影响。现在网通和联通的光缆被破坏事件完全的物理安全代价很高32物理安全包括三个方面：（1）、环境安全：是指系统所在环境的安全，主要是场地与机房

（2）、设备安全：主要指设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等

（3）、媒体安全：包括媒体数据的安全及媒体本身的安全。

物理安全问题常见物理安全问题供电质量雷击静电温湿度、洁净度防火、防水、防生物电磁干扰电磁泄漏防盗二、环境安全34环境安全影响着计算机系统是否能够安全稳定地运行，甚至影响到计算机系统的使用寿命。1、受灾防护：是保护计算机信息系统免受水、火、有害气体、地震、雷击和静电的危害。环境的选择+机房的位置+设备的配备+内部装修材料2、区域防护：是对特定区域边界实施控制提供某种形式的保护和隔离，来达到保护区域内部系统安全性的目的门禁系统+安全区域划分+所有进出物件检查+屏蔽

三、设备安全351、设备安全主要包括设备的防盗和防毁，防止电磁信息泄漏，防止线路截获，抗电磁干扰以及电源保护。

2、TEMPEST技术

1985年，荷兰学者艾克在第三届计算机通信安全防护大会上，发表关于计算机视频显示单元电磁辐射的研究报告其它外部设备如键盘、磁盘和打印机在工作中同样辐射带信号的电磁波人体健康+电磁干扰+信息泄密

36电磁泄露的两种方式：1、辐射泄漏：以电磁波的形式辐射出去

2、传导泄漏：通过各种线路和金属管传导出去的

辐射强度的因素主要有功率和频率、与辐射源的距离、屏蔽状况

TEMPEST技术是美国国家安全局和国防部联合进行研究与开发的，主要内容：电磁泄漏机理、防护技术、有用信息的提取技术、测试技术和标准

TEMPEST技术的主要目的是减少计算机中信息的外泄。抑制信息泄漏的途径一是电子隐蔽技术，二是物理抑制技术（包容法和抑源法）。

37TEMPEST技术主要采用的技术措施：（1）、利用噪声干扰源（2）、采用屏蔽技术（3）、“红”

“黑”隔离（4）、滤波技术（5）、布线与元器件选择电子战系统

38电子战系统是一种信息对抗系统，是为了削弱、破坏敌方电子设备的使用效能、保障己方电子设备正常工作的系统

（1）电子侦察系统由星载电子、机载、舰载电子侦察设备和陆基及相应的人员组成，并与其它系统相连，从而了解敌方电磁威胁、监视敌方各种电磁活动。

（2）电子进攻系统包括电子干扰和电子摧毁。（3）电子防卫系统是削弱敌方电子战武器的作用，保护己方电子设施的一个分系统

四、媒体安全39媒体安全是指媒体数据和媒体本身的安全。

媒体安全：媒体的防盗；媒体的防毁；媒体数据的安全删除和媒体的安全销毁计算机磁盘是常用的计算机信息载体，剩磁效